Questo è il comando deadwood che può essere eseguito nel provider di hosting gratuito OnWorks utilizzando una delle nostre molteplici workstation online gratuite come Ubuntu Online, Fedora Online, emulatore online Windows o emulatore online MAC OS
PROGRAMMA:
NOME
deadwood - Un risolutore DNS con memorizzazione nella cache completamente ricorsivo
DESCRIZIONE
Deadwood è una cache DNS completamente ricorsiva. Si tratta di un server DNS con le seguenti funzionalità:
* Supporto completo sia per la ricorsione DNS che per la memorizzazione nella cache dell'inoltro DNS
* Dimensioni ridotte e ingombro di memoria adatti per sistemi embedded
* Base di codice semplice e pulita
* Progettazione sicura
* Protezione dallo spoofing: crittografia avanzata utilizzata per determinare l'ID della query e la porta di origine
* Possibilità di leggere e scrivere la cache in un file
* Cache dinamica che elimina le voci non utilizzate di recente
* Possibilità di utilizzare voci scadute nella cache quando è impossibile contattare a monte
Server DNS.
*Se lo si desidera, è possibile integrare il supporto IPv6
* Sia DNS-over-UDP che DNS-over-TCP sono gestiti dallo stesso demone
* Funzionalità DNSwall integrata
COMANDO LINE ARGOMENTI
Deadwood ha un unico argomento facoltativo sulla riga di comando: la posizione della configurazione
file utilizzato da Deadwood, specificato con il flag "-f". Se questo non è definito, Deadwood
utilizza il file "/etc/maradns/deadwood/dwood3rc" come file di configurazione.
In altre parole, invocando Deadwood come rami secchi farà sì che Deadwood venga utilizzato
/etc/maradns/deadwood/dwood3rc come file di configurazione; invocando Deadwood come rami secchi -f
foobar farà sì che Deadwood utilizzi il file "foobar" nella directory di lavoro corrente (the
directory in cui si trova all'avvio di Deadwood) come file di configurazione.
CONFIGURAZIONE RISORSE FORMATO
Il file di configurazione di Deadwood è modellato sulla sintassi di Python 2. Qualsiasi Deadwood valido
il file di configurazione dovrebbe anche essere analizzato correttamente sia in Python 2.4.3 che in Python 2.6.6. Se
qualsiasi file di configurazione viene analizzato correttamente in Deadwood ma solleva un errore di sintassi in
Python, questo è un bug che dovrebbe essere corretto.
Tenendo presente questo, gli spazi bianchi sono significativi; I parametri Deadwood devono essere all'estrema sinistra
colonna senza spazi iniziali. Questa è una riga valida (purché non siano presenti spazi
è a sinistra):
ricorsivo_acl = "127.0.0.1/16"
La riga seguente, tuttavia, genererà un errore di analisi:
ricorsivo_acl = "127.0.0.1/16"
Osservare lo spazio a sinistra della stringa "recusive_acl" nel file formattato in modo errato
linea.
PARAMETRO TIPI
Deadwood ha tre diversi tipi di parametri:
*Parametri numerici. I parametri numerici non devono essere racchiusi tra virgolette, come questo
esempio:
filtro_rfc1918 = 0
Se un parametro numerico è racchiuso tra virgolette, verrà visualizzato il messaggio di errore "Unknown dwood3rc
parametro stringa" apparirà.
* Parametri stringa. I parametri stringa devono essere racchiusi tra virgolette, come in questo
esempio:
indirizzo_bind = "127.0.0.1"
* Parametri del dizionario. Tutti i parametri del dizionario devono essere inizializzati prima dell'uso e
i parametri del dizionario devono avere sia l'indice del dizionario che il valore di detto indice
circondato da virgolette, come in questo esempio:
server_upstream = {}
upstream_servers["."]="8.8.8.8, 8.8.4.4"
Tutti i parametri dwood3rc con l’esclusione di i seguenti sono parametri numerici:
* indirizzo_bind (stringa)
* file_cache (stringa)
* chroot_dir (stringa)
* ip_blacklist (stringa)
* ipv4_bind_addresses (stringa)
* random_seed_file (stringa)
* ricorsivo_acl (stringa)
* root_servers (dizionario)
* upstream_servers (dizionario)
SUPPORTATI PARAMETRI
Il file di configurazione Deadwood supporta i seguenti parametri:
bind_indirizzo
Questo è l'indirizzo IP (o forse IPv6) a cui ci leghiamo.
file_cache
Questo è il nome del file utilizzato per leggere e scrivere la cache su disco; Questo
la stringa può contenere lettere minuscole, il simbolo '-', il simbolo '_' e il simbolo '/' (per
mettendo la cache in una sottodirectory). Tutti gli altri simboli diventano un simbolo '_'.
Questo file viene letto e scritto mentre viene eseguito l'utente Deadwood.
chroot_dir
Questa è la directory da cui verrà eseguito il programma.
consegna_tutti
Ciò influisce sul comportamento in Deadwood 2.3, ma non ha alcun effetto in Deadwood 3. Questa variabile lo è
solo qui in modo che i file RC di Deadwood 2 possano essere eseguiti in Deadwood 3.
porta_dns
Questa è la porta a cui Deadwood si lega e resta in ascolto per le connessioni in entrata. Il predefinito
il valore per questo è la porta DNS standard: porta 53
filter_rfc1918
Quando ha un valore pari a 1, non è consentito che nel DNS A siano presenti diversi intervalli IP
risposte:
*192.168.x.x
* 172.[16-31].xx
*10.x.x.x
*127.x.x.x
*169.254.x.x
*224.x.x.x
*0.0.x.x
Se uno degli IP sopra indicati viene rilevato in una risposta DNS e filter_rfc1918 ha un valore pari a 1,
Deadwood restituirà una risposta sintetica "questo host non risponde" (un record SOA nel file
sezione NS) invece del record A.
La ragione di ciò è fornire un "dnswall" che protegga gli utenti per alcuni tipi di problemi
attacchi, come descritto a http://crypto.stanford.edu/dns/
Tieni presente che Deadwood fornisce solo la funzionalità "dnswall" IPv4 e non aiuta
proteggere dalle risposte IPv6. Se è necessaria la protezione contro determinati record IPv6 AAAA,
disabilita tutte le risposte AAAA impostando reflect_aaaa su un valore pari a 1 oppure utilizza an
programma esterno per filtrare le risposte IPv4 indesiderate (come il programma dnswall).
Il valore predefinito per questo è 1
handle_noreply
Quando è impostato su 0, Deadwood non invia alcuna risposta al client (quando il client è a
Client TCP, Deadwood chiude la connessione TCP) quando una query UDP viene inviata a monte e il file
Il DNS a monte non invia mai una risposta.
Quando è impostato su 1, Deadwood invia un SERVER FAIL al client quando viene eseguita una query UDP
inviato a monte e il DNS a monte non invia mai una risposta.
Il valore predefinito per questo è 1
handle_sovraccarico
Quando ha un valore pari a 0, Deadwood non invia alcuna risposta quando viene inviata una query UDP e il file
il server è sovraccarico (ha troppe connessioni in sospeso); quando ha valore 1,
Deadwood invia un pacchetto SERVER FAIL al mittente della query UDP. Il valore predefinito
perché questo è 1.
hash_magic_number
Questo veniva utilizzato per il generatore di hash interno di Deadwood per mantenere il generatore di hash
alquanto casuale e immune a determinati tipi di attacchi. In Deadwood 3.0, l'entropia per il
La funzione hash viene creata osservando il contenuto di /dev/urandom (secret.txt su Windows
macchine) e il timestamp corrente. Questo parametro è qui solo nella configurazione precedente
i file non si interrompono in Deadwood 3.0.
ip_blacklist
Questo è un elenco di IP che non consentiamo di inserire nella risposta a una richiesta DNS. IL
la ragione di ciò è contrastare la pratica di alcuni ISP di convertire un file "questo sito
non esiste" risposta DNS a una pagina controllata dall'ISP; ciò risulta possibile
problemi di sicurezza.
Questo parametro accetta solo IP individuali e non utilizza maschere di rete.
maradns_uid
L'ID utente Deadwood viene eseguito come. Può essere qualsiasi numero compreso tra 10 e 65535; il predefinito
il valore è 99 (nessuno su distribuzioni Linux derivate da RedHat). Questo valore non viene utilizzato
Sistemi Windows.
maradns_gid
L'ID gruppo Deadwood viene eseguito come. Può essere qualsiasi numero compreso tra 10 e 65535; il predefinito
il valore è 99. Questo valore non viene utilizzato sui sistemi Windows.
max_ar_chain
Se la rotazione dei record di risorse è abilitata. Se ha valore 1, record di risorse
la rotazione è abilitata, altrimenti la rotazione dei record di risorse è disabilitata.
La rotazione dei record delle risorse è solitamente auspicabile, poiché consente al DNS di agire come un grezzo
bilanciatore del carico. Tuttavia, su sistemi molto caricati potrebbe essere opportuno disabilitarlo
ridurre l'utilizzo della CPU.
Il motivo del nome insolito di questa variabile è mantenere la compatibilità con MaraDNS
file marrc.
Il valore predefinito è 1: rotazione dei record di risorse abilitata.
max_inflights
Il numero massimo di client simultanei che elaboriamo contemporaneamente per la stessa query.
Se, durante l'elaborazione di una query per, ad esempio, "example.com.", un altro client DNS invia a
Deadwood un'altra query per example.com, invece di creare una nuova query da elaborare
example.com, Deadwood allegherà il nuovo client alla stessa query che è già "in
flight" e invia una risposta a entrambi i client una volta ottenuta una risposta per example.com.
Questo è il numero di client simultanei che può avere una determinata query. Se questo limite è
superato, i client successivi con la stessa query vengono rifiutati finché non viene trovata una risposta. Se
questo ha un valore di 1, non uniamo più richieste per la stessa query, ma le forniamo ciascuna
richiedere la propria connessione.
Il valore predefinito è 8.
max_ttl
Il periodo di tempo massimo in cui conserveremo una voce nella cache, in secondi (chiamato anche
"TTL massimo").
Questo è il tempo più lungo per cui manterremo una voce nella cache. Il valore predefinito per questo parametro è
86400 (un giorno); il valore minimo è 300 (5 minuti) ed il valore massimo questo può avere
è 7776000 (90 giorni).
Il motivo per cui questo parametro è qui è per proteggere Deadwood dagli attacchi che sfruttano
sono presenti dati obsoleti nella cache, come l'attacco "Ghost Domain Names".
elementi_cache_massimi
Il numero massimo di elementi che la nostra cache può contenere. Questo è un numero compreso tra 32
e 16,777,216; il valore predefinito per questo è 1024. Tieni presente che, se si scrive la cache su
disk o leggendo la cache dal disco, valori più alti rallenteranno la cache
leggere/scrivere.
La quantità di memoria utilizzata da ciascuna voce della cache è variabile a seconda del sistema operativo
utilizzato e la dimensione delle pagine di allocazione della memoria assegnate. In Windows XP, ad esempio, ciascuno
voce utilizza circa quattro kilobyte di memoria e Deadwood ha un sovraccarico di
circa 512 kilobyte. Quindi, se sono presenti 512 elementi cache, Deadwood utilizza
circa 2.5 megabyte di memoria e se sono presenti 1024 elementi di cache, Deadwood utilizza
circa 4.5 megabyte di memoria. Ancora una volta, questi numeri si riferiscono a Windows XP e altri
i sistemi operativi avranno numeri di allocazione della memoria diversi.
Tieni presente che ciascuna voce root_servers e upstream_servers occupa spazio in Deadwood
cache e che maxim_cache_elements dovrà essere aumentato per archiviare un numero elevato di file
queste voci.
maxprocs
Questo è il numero massimo di connessioni UDP remote in sospeso che Deadwood può avere. IL
il valore predefinito per questo è 1024.
max_tcp_procs
Questo è il numero di connessioni TCP aperte consentite. Valore predefinito: 8
num_retry
Il numero di volte in cui riproviamo a inviare una query a monte prima di arrenderci. Se questo è 0, noi
provare solo una volta; se è 1, proviamo due volte e così via, fino a 32 tentativi. Nota che ciascuno
il tentativo richiede timeout_seconds secondi prima di riprovare. Valore predefinito: 5
ns_glueless_type
Il tipo RR che inviamo per risolvere i record senza colla. Dovrebbe essere 1 (A) in caso di utilizzo principale
IPv4 per risolvere i record. Se i record NS senza colla hanno record AAAA ma non A e IPv6 lo è
abilitato, potrebbe avere senso assegnargli il valore 255 (QUALSIASI). Se mai IPv4 smettesse di esistere
utilizzato su larga scala, potrebbe eventualmente diventare possibile attribuire a questo valore un valore pari a 28
(AAAA).
Il valore predefinito è 1: un record A (IPv4 IP). Questo parametro ha non stato testato; utilizzare a
il tuo rischio
file_seme_casuale
Questo è un file che contiene numeri casuali e viene utilizzato come seme per il file
generatore di numeri casuali crittograficamente forte. Deadwood proverà a leggere 256 byte
da questo file (l'RNG utilizzato da Deadwood può accettare un flusso di qualsiasi lunghezza arbitraria).
Si noti che la funzione di compressione hash ottiene parte della sua entropia prima di analizzare il file
mararc ed è codificato per ottenere entropia da /dev/urandom (secret.txt su Windows
sistemi). La maggior parte dell'entropia utilizzata da Deadwood proviene dal file indicato da
file_seme_casuale.
recurse_min_bind_port
La porta con il numero più basso a cui Deadwood può legarsi; questo è un numero di porta casuale utilizzato
per la porta di origine delle query in uscita e non è 53 (vedere dns_port sopra). Questo è un
numero compreso tra 1025 e 32767 e ha un valore predefinito di 15000. Viene utilizzato per rendere DNS
gli attacchi di spoofing sono più difficili.
ricorsione_numero_porte
Il numero di porte a cui Deadwood si collega per la porta di origine per le connessioni in uscita; Questo
è una potenza di 2 compresa tra 256 e 32768. Viene utilizzata per rendere più frequenti gli attacchi di spoofing DNS
difficile. Il valore predefinito è 4096.
ricorsivo_acl
Questo è un elenco di chi è autorizzato a utilizzare Deadwood per eseguire la ricorsione DNS, in "ip/mask"
formato. La maschera deve essere un numero compreso tra 0 e 32 (per IPv6, compreso tra 0 e 128). Per esempio,
"127.0.0.1/8" consente connessioni locali.
rifiutare_aaaa
Se ha un valore pari a 1, viene inviata una risposta SOA fasulla "non presente" ogni volta che viene inviata una query AAAA
inviato a Deadwood. In altre parole, ogni volta che un programma chiede a Deadwood un IP IPv6
indirizzo, invece di provare a elaborare la richiesta, quando è impostato su 1, Deadwood
finge che il nome host in questione non abbia un indirizzo IPv6.
Ciò è utile per le persone che non utilizzano IPv6 ma utilizzano applicazioni (solitamente il comando *NIX
come applicazioni come "telnet") che rallentano il tentativo di trovare un indirizzo IPv6.
Il valore predefinito è 0. In altre parole, le query AAAA vengono elaborate normalmente a meno che
questo è impostato.
rifiuto_mx
Quando il valore predefinito è 1, le query MX vengono eliminate silenziosamente con il relativo IP
registrato. Una query MX è una query che viene eseguita da una macchina solo se desidera essere propria
server di posta che invia posta a macchine su Internet. Questa è una query su un desktop medio
macchina (inclusa una che utilizza Outlook o un altro agente utente di posta per leggere e inviare
email) non farà mai.
Molto probabilmente, se una macchina sta tentando di effettuare una query MX, la macchina è controllata da
una fonte remota per inviare e-mail di "spam" indesiderate. Questo in mente, Deadwood non lo permetterà
Query MX da effettuare a meno che reflect_mx non sia impostato esplicitamente con un valore pari a 0.
Prima di disabilitarlo, tieni presente che Deadwood è ottimizzato per essere utilizzato per il web
navigazione, non come server DNS per un hub di posta. In particolare, gli IP per i record MX lo sono
rimosso dalle risposte di Deadwood e Deadwood deve eseguire ulteriori query DNS
ottieni gli IP corrispondenti ai record MX e i test di Deadwood sono più orientati al web
navigazione (ricerca di record quasi al 100%) e non per la consegna della posta (ampio record MX
cercare).
rifiuto_ptr
Se ha valore 1, viene inviata una risposta SOA fasulla "non presente" ogni volta che viene effettuata una query PTR
inviato a Deadwood. In altre parole, ogni volta che un programma chiede a Deadwood "reverse DNS
lookup" - il nome host per un determinato indirizzo IP - invece di provare a elaborare il file
request, quando questo è impostato su 1, Deadwood finge che l'indirizzo IP in questione non lo abbia
un nome host.
Ciò è utile per le persone che riscontrano timeout DNS lenti quando tentano di eseguire a
ricerche DNS inverse sugli IP.
Questo ha un valore predefinito pari a 0. In altre parole, le query PTR vengono elaborate normalmente a meno che
questo è impostato.
resurrezioni
Se è impostato su 1, Deadwood tenterà di inviare un record scaduto all'utente prima di fornirlo
su. Se è 0, non lo facciamo. Valore predefinito: 1
root_servers
Questo è un elenco di server root; la sua sintassi è identica a upstream_servers (vedi sotto).
Questo è il tipo di servizio DNS eseguito, ad esempio, da ICANN. Questi sono i server utilizzati che lo fanno
non ci fornisce risposte complete alle domande sul DNS, ma ci dice semplicemente quali server DNS utilizzare
connettiti a per ottenere una risposta più vicina alla risposta desiderata.
Tieni presente che ogni voce root_servers occupa spazio nella cache di Deadwood e altro
maxim_cache_elements dovrà essere aumentato per memorizzare un gran numero di queste voci.
tcp_ascolta
Per abilitare DNS-over-TCP, questa variabile deve essere impostata e avere un valore pari a 1. Default
valore: 0
timeout_secondi
Questo è il tempo che Deadwood attenderà prima di arrendersi e scartare un DNS UDP in sospeso
rispondere. Il valore predefinito per questo è 1, come in 1 secondo, a meno che Deadwood non sia stato compilato con
FALLBACK_TIME abilitato.
timeout_seconds_tcp
Quanto tempo attendere su una connessione TCP inattiva prima di interromperla. Il valore predefinito per questo
è 4, come in 4 secondi.
ttl_age
Se l'invecchiamento TTL è abilitato; se le voci nella cache hanno i loro TTL impostati su
tempo rimasto nella cache.
Se ha un valore pari a 1, le voci TTL vengono invecchiate. Altrimenti non lo sono. Il predefinito
il valore per questo è 1.
porta_upstream
Questa è la porta utilizzata da Deadwood per connettersi o inviare pacchetti ai server upstream. IL
il valore predefinito per questo è 53; la porta DNS standard.
upstream_servers
Questo è un elenco di server DNS che il sistema di bilanciamento del carico tenterà di contattare. Questo è un
dizionario variabile (array indicizzato da una stringa anziché da un numero) anziché da un semplice
variabile. Poiché upstream_servers è una variabile del dizionario, deve essere inizializzata
prima di essere utilizzato.
Deadwood esaminerà il nome dell'host che sta cercando di trovare nel server upstream
for, e corrisponderà al suffisso più lungo che riesce a trovare.
Ad esempio, se qualcuno invia una query per "www.foo.example.com" a Deadwood, Deadwood
prima controlla se esiste una variabile upstream_servers per "www.foo.example.com.", quindi guarda
per "foo.example.com.", quindi cercare "example.com.", quindi "com." e infine ".".
Ecco un esempio di upstream_servers:
upstream_servers = {} # Inizializza la variabile del dizionario
upstream_servers["foo.example.com."] = "192.168.42.1"
upstream_servers["esempio.com."] = "192.168.99.254"
upstream_servers["."] = "10.1.2.3, 10.1.2.4"
In questo esempio, tutto ciò che termina con "foo.example.com" viene risolto dal server DNS su
192.168.42.1; qualsiasi altra cosa che termina con "example.com" viene risolta da 192.168.99.254; E
tutto ciò che non termina con "example.com" viene risolto da 10.1.2.3 o 10.1.2.4.
Importante: il nome di dominio a cui punta upstream_servers deve terminare con un "." carattere. Questo è
OK:
upstream_servers["esempio.com."] = "192.168.42.1"
Ma questo è non OK:
upstream_servers["esempio.com"] = "192.168.42.1"
Il motivo è che BIND assume un comportamento imprevisto quando viene specificato un nome host
non termina con un punto e, forzando un punto alla fine del nome host, Deadwood non ha
per indovinare se l'utente desidera il comportamento di BIND o il comportamento "normale".
Se non sono impostati né root_servers né upstream_servers, Deadwood imposta root_servers da utilizzare
i server root ICANN predefiniti, come segue:
198.41.0.4 a.root-servers.net (VeriSign)
192.228.79.201 b.root-servers.net (ISI)
192.33.4.12 c.root-servers.net (Cogent)
199.7.91.13 d.root-servers.net (UMaryland)
192.203.230.10 e.root-servers.net (NASA Ames)
192.5.5.241 f.root-servers.net (ISC)
192.112.36.4 g.root-servers.net (NIC DOD)
128.63.2.53 h.root-servers.net (ArmyRU)
192.36.148.17 i.root-servers.net (NORDUnet)
192.58.128.30 j.root-servers.net (VeriSign)
193.0.14.129 k.root-servers.net (Reseaux)
199.7.83.42 l.root-servers.net (IANA)
202.12.27.33 m.root-servers.net (WIDE)
Questo elenco è aggiornato al 9 febbraio 2015 ed è stato modificato l'ultima volta il 3 gennaio 2013.
Tieni presente che ciascuna voce upstream_servers occupa spazio nella cache di Deadwood e altro
maxim_cache_elements dovrà essere aumentato per memorizzare un gran numero di queste voci.
livello_verboso
Ciò determina quanti messaggi vengono registrati sull'output standard; valori più grandi registrano di più
messaggi. Il valore predefinito per questo è 3.
ip/maschera formato of IPs
Deadwood utilizza formati ip/netmask standard per specificare gli IP. Un IP è in formato decimale puntato
formato, ad es. "10.1.2.3" (o nel formato IPv6 quando è integrato il supporto IPv6).
La maschera di rete viene utilizzata per specificare un intervallo di IP. La maschera di rete è un singolo numero compreso tra 1
e 32 (128 quando è compilato il supporto IPv6), che indica il numero di "1" iniziali
bit nella maschera di rete.
10.1.1.1/24 indica che qualsiasi IP da 10.1.1.0 a 10.1.1.255 corrisponderà.
10.2.3.4/16 indica che qualsiasi IP da 10.2.0.0 a 10.2.255.255 corrisponderà.
127.0.0.0/8 indica che qualsiasi IP con "127" come primo ottetto (numero) corrisponderà.
La maschera di rete è facoltativa e, se non presente, indica che corrisponderà un solo IP.
DNS ancora TCP
DNS-over-TCP deve essere abilitato esplicitamente impostando tcp_listen su 1.
Deadwood estrae informazioni utili dai pacchetti DNS UDP contrassegnati come troncati che quasi
elimina sempre la necessità di avere DNS-over-TCP. Tuttavia, Deadwood non memorizza nella cache i pacchetti DNS
di dimensione superiore a 512 byte che devono essere inviati utilizzando TCP. Inoltre, DNS-over-TCP
pacchetti che sono risposte DNS "incomplete" (risposte che un risolutore di stub non può utilizzare,
che può essere un riferimento NS o una risposta CNAME incompleta) non vengono gestiti correttamente
di Deadwood.
Deadwood supporta sia DNS-over-UDP che DNS-over-TCP; lo stesso demone è in ascolto
sia la porta DNS UDP che quella TCP.
Vengono memorizzate nella cache solo le query DNS UDP. Deadwood non supporta la memorizzazione nella cache su TCP; gestisce
TCP per risolvere la rara risposta troncata senza informazioni utili o con cui lavorare
risolutori DNS solo TCP non conformi a RFC molto rari. Nel mondo reale, DNS-over-TCP lo è
quasi mai usato.
parsing Altro file
È possibile fare in modo che Deadwood, durante l'analisi del file dwood3rc, legga altri file e
analizzarli come se fossero file dwood3rc.
Questo è fatto usando file exec. Per utilizzare execfile, inserisci una riga come questa nel file dwood3rc
file:
execfile("percorso/del/nomefile")
Dove percorso/nomefile è il percorso del file da analizzare come un file dwood3rc.
Tutti i file devono trovarsi nella o sotto la directory /etc/maradns/deadwood/execfile. I nomi dei file possono
contenere solo lettere minuscole e il carattere di sottolineatura ("_"). I percorsi assoluti non lo sono
consentito come argomento per execfile; il nome del file non può iniziare con una barra ("/")
carattere.
Se è presente un errore di analisi nel file indicato da execfile, Deadwood segnalerà il file
errore come se fosse sulla riga con il comando execfile nel file principale dwood3rc. Trovare
dove c'è un errore di analisi nel sottofile, usa qualcosa come "Deadwood -f
/etc/maradns/deadwood/execfile/filename" per trovare l'errore di analisi nel file incriminato,
dove "nomefile" è il file da analizzare tramite execfile.
IPV6 supporto
Questo server può anche essere facoltativamente compilato per avere il supporto IPv6. Per abilitare IPv6
supporto, aggiungere '-DIPV6' ai flag in fase di compilazione. Ad esempio, per compilare questo per creare a
piccolo binario e per avere il supporto IPv6:
esporta FLAGS='-Os -DIPV6'
make
SICUREZZA
Deadwood è un programma scritto pensando alla sicurezza.
Oltre a utilizzare una libreria di stringhe resistente al buffer overflow e uno stile di codifica e SQA
processo che controlla gli overflow del buffer e le perdite di memoria, Deadwood utilizza un forte
generatore di numeri pseudo-casuali (la versione a 32 bit di RadioGatun) per generare sia il file
interrogare l'ID e la porta di origine. Affinché il generatore di numeri casuali sia sicuro, Deadwood necessita di a
buona fonte di entropia; per impostazione predefinita Deadwood utilizzerà /dev/urandom per ottenere questa entropia. Se
sei su un sistema senza supporto /dev/urandom, è importante accertarsene
Deadwood ha una buona fonte di entropia, quindi l'ID della query e la porta di origine sono difficili da individuare
indovinare (altrimenti è possibile falsificare i pacchetti DNS).
Il port di Deadwood per Windows include un programma chiamato "mkSecretTxt.exe" che crea un file
File casuale da 64 byte (512 bit) chiamato "secret.txt" che può essere utilizzato da Deadwood (tramite il
parametro "random_seed_file"); Deadwood ottiene anche entropia dal timestamp quando Deadwood
viene avviato e il numero ID del processo di Deadwood, quindi è uguale utilizzare lo stesso static
secret.txt come random_seed_file per più invocazioni di Deadwood.
Tieni presente che Deadwood non è protetto da qualcuno sulla stessa rete che visualizza i pacchetti inviati
da Deadwood e inviando pacchetti contraffatti in risposta.
Per proteggere Deadwood da alcuni possibili attacchi di negazione del servizio, è meglio se
Il numero primo di Deadwood utilizzato per l'hashing degli elementi nella cache è un numero primo casuale a 31 bit
numero. Il programma RandomPrime.c genera un numero primo casuale che viene inserito nel file
DwRandPrime.h che viene rigenerato ogni volta che il programma viene compilato o le cose vengono compilate
ripulito con make clean. Questo programma usa /dev/urandom per la sua entropia; il file
DwRandPrime.h non verrà rigenerato sui sistemi senza /dev/urandom.
Sui sistemi senza supporto diretto /dev/urandom, si suggerisce di vedere se esiste un file
modo possibile per dare al sistema un /dev/urandom funzionante. In questo modo, quando Deadwood è
compilato, il numero hash magic sarà opportunamente casuale.
Se si utilizza un binario precompilato di Deadwood, assicurarsi che il sistema abbia /dev/urandom
supporto (sul sistema Windows, assicurati che il file con il nome secret.txt sia
generato dal programma mkSecretTxt.exe incluso); Deadwood, in fase di esecuzione, utilizza
/dev/urandom (secret.txt in Windows) come percorso hardcoded per ottenere entropia (insieme al
timestamp) per l'algoritmo hash.
DEMONIZZAZIONE
Deadwood non dispone di strutture di demonizzazione integrate; questo è gestito da
programma esterno Duende o qualsiasi altro demone.
Esempio configurazione filetto
Ecco un esempio di file di configurazione dwood3rc:
# Questo è un esempio di file rc deadwood
# Nota che i commenti iniziano con il simbolo del cancelletto
bind_address="127.0.0.1" # IP a cui ci leghiamo
# La riga seguente è disabilitata perché commentata
#bind_address="::1" # Abbiamo il supporto IPv6 opzionale
# Directory da cui eseguiamo il programma (non utilizzata in Win32)
chroot_dir = "/etc/maradns/deadwood"
# I seguenti server DNS upstream sono di Google
# (a dicembre 2009) server DNS pubblici. Per
# maggiori informazioni, consultare la pagina all'indirizzo
# http://code.google.com/speed/public-dns/
#
# Se non sono impostati né root_servers né upstream_servers,
# Deadwood utilizzerà i server root ICANN predefiniti.
#server_upstream = {}
#upstream_servers["."]="8.8.8.8, 8.8.4.4"
# Chi è autorizzato a utilizzare la cache. Questa linea
# consente a chiunque abbia "127.0" come primi due
# cifre del loro IP per utilizzare Deadwood
ricorsivo_acl = "127.0.0.1/16"
# Numero massimo di richieste pendenti
processimax = 2048
# Invia SERVER FAIL in caso di sovraccarico
handle_sovraccarico = 1
maradns_uid = 99 # UID Deadwood viene eseguito come
maradns_gid = 99 # GID Deadwood viene eseguito come
elementi_cache_massimi = 60000
# Se vuoi leggere e scrivere la cache dal disco,
# assicurati che chroot_dir sopra sia leggibile e scrivibile
# dal maradns_uid/gid sopra e decommenta il file
# riga successiva.
#cache_file = "dw_cache"
# Se il tuo server DNS upstream converte le risposte DNS "non presenti".
# in IP, questo parametro consente a Deadwood di convertire qualsiasi risposta
# con un determinato IP torna in un IP "non presente". Se uno qualsiasi degli IP
# elencati di seguito si trovano in una risposta DNS, Deadwood converte la risposta
# in un "non lì"
#ip_blacklist = "10.222.33.44, 10.222.3.55"
# Per impostazione predefinita, per motivi di sicurezza, Deadwood non consente l'accesso agli IP
# 192.168.x.x, 172.[16-31].x.x, 10.x.x.x, 127.x.x.x,
# Intervallo 169.254.x.x, 224.x.x.x o 0.0.x.x. Se si utilizza Deadwood
# per risolvere i nomi su una rete interna, decommentare il file
# riga seguente:
#filtro_rfc1918 = 0
Utilizza deadwood online utilizzando i servizi onworks.net
